23.5.2 启用 SSL 并选择加密算法

您可以使用控制台启用 SSL 并选择 Messaging Server 可以在其与客户端的加密通信中使用的加密算法集。您也可以使用 msgcert 实用程序安装 SSL 证书，并运行相应的 configutil 或编辑启用此特定服务的 SSL 所需的相应配置文件。

23.5.2.1 关于加密算法

加密算法是用于在加密进程中加密和解密数据的算法。某些加密算法比其他加密算法强大，这意味着经这些算法保密的邮件更难被未经授权的用户译出。

加密算法通过将密钥（一个长编号）应用到数据中来对数据进行操作。通常，加密过程中加密算法使用的密钥越长，没有正确的解秘密钥来解密数据则越难。

客户端用 Messaging Server 启动 SSL 连接时，客户端会让服务器了解客户端会将何种加密算法和密钥长度用于加密。在所有加密通信中，双方必须使用同一加密算法。因为有很多通用的加密算法和密钥组合，所以，服务器应当能够灵活地支持加密。Messaging Server 可支持至多 6 种加密算法和密钥长度的组合。

表 23–2 列出了 Messaging Server 支持的可与 SSL 3.0 配合使用的加密算法。有关此表中汇总的信息，可在 Managing Servers with iPlanet Console 中的 Introduction to SSL 一章中获得的更详细的介绍。

表 23–2 适用于 Messaging Server 的 SSL 加密算法

加密算法	说明
带有 128 位加密和 MD5 邮件验证的 RC4	最快的加密算法（通过 RSA 实现）以及强度很高的加密算法和加密密钥的组合。
带有 168 位加密和 SHA 邮件验证的三重 DES	一种较慢的加密算法（美国政府标准），但却是最强大的加密算法和加密密钥的组合。
带有 56 位加密和 SHA 邮件验证的 DES	较慢的加密算法（美国政府标准）以及普通强度的加密算法和加密密钥组合。
带有 40 位加密和 MD5 邮件验证的 RC4	最快的加密算法（通过 RSA 实现）和较低强度的加密算法和加密密钥组合。
带有 40 位加密和 MD5 邮件验证的 RC2	较慢的加密算法（通过 RSA 实现）和较低强度的加密算法和加密密钥组合。
无加密，只有 MD5 邮件验证	无加密；仅使用用于验证的邮件摘要。

除非您具备不使用某个特定加密算法的令人信服的理由，否则应当支持所有加密算法。但是，请注意出口法律限制在某些国家/地区使用某些加密算法。同时，在美国出口控制法放宽之前，所生产的某些客户端软件不能使用较高强度的加密。请注意，虽然 40 位加密算法可以阻止偶尔窃听者，但这些算法并不安全，因此将不会阻止蓄意攻击。

要启用 SSL 并选择加密算法，请遵循以下命令行步骤：

要指定一个证书：

configutil -o encryption.rsa.nssslpersonalityssl -v certname

还有基于服务的配置设置，用于设置 SSL 服务器证书昵称。新的 configutil 设置如下所示：

local.imta.sslnicknames 用于 SMTP 和 Submit 服务器； local.imap.sslnicknames 用于 IMAP 服务器；local.pop.sslnicknames 用于 POP 服务器；local.http.sslnicknames 用于 web 邮件服务器。

这些设置与 encryption.rsa.nssslpersonalityssl 设置具有相同的含义，并将覆盖该设置。具体地说，该设置是一个以逗号分隔的 NSS 证书昵称列表。尽管在列表中允许多个昵称，但每个昵称必须表示不同的证书类型（例如，RSA 证书和 DSS 证书），这样，该设置几乎总是只有一个昵称。昵称可以是非限定的（此时将搜索 NSS 软件标记或默认标记），也可以是 security-module: nickname" 格式（此时将在指定的安全模块中搜索该昵称）。这对存储在硬件标记中或默认 NSS 数据库以外的位置的证书来说是必要的。

这并不允许在产品中使用多个 NSS 软件标记。尤其是，对于 IMAP、POP、SMTP 和 HTTP，只存在一个 cert8.db、 key3.db 和 secmod.db。NSS 不允许发生这种情况。

---

注 –

要能够对外发邮件进行 SSL 加密，则必须修改通道定义以使其包含 tls 通道关键字，例如 maytls、musttls 等。有关更多信息，请参见12.4.8 传输层安全性手册。

---